Ein ungleiches Paar

Samba und Netzwerk

Als zentrales Bindeglied im Netzwerk dient das sowohl von Windows als auch von Linux verwendete Protokoll SMB, welche die Freigebe von Verzeichnissen und Druckern im Netz erlaubt. Hier hat Vista nachgerüstet und verwendet jetzt das modifizierte Protokoll SMB 2.0. Zurzeit unterstützen allerdings nur die neuesten Windows-Betriebssysteme SMB 2.0, weswegen Vista automatisch auf SMB 1.0 zurückschaltet, wenn das anfragende Betriebssystem nicht kompatibel ist – so behauptet zumindest Microsoft.

Wie unser Test aufzeigte, gilt das aber offenbar nicht für Linux: Derzeit ist das Öffnen von Vista-Shares mir Linux-Clients generell nicht möglich. Zwar erscheint das Authentifizierungsfenster (Abbildung 5), doch auch die Eingabe des richtigen Benutzernamens samt Passwort öffnet das Verzeichnis nicht.

Unter Apples OS X dagegen funktioniert der Zugriff, auch wenn hier die Authentifizierungsabfrage selbst bei öffentlich zugänglichen Shares erscheint. Gänzlich unproblematisch und wie gewünscht funktioniert der Zugriff von anderen Windows-Betriebssystemen auf Vista-Shares. Windows Vista sperrt also offenbar ausschließlich Linux-Systeme vom Zugriff auf Netzwerkfreigaben aus.

LinuxUser informierte umgehend das Samba-Team von den Testergebnissen. Die Entwickler zeigten sich von der ihnen bis dahin unbekannten Problematik überrascht, konnten das Problem aber reproduzieren und bestätigten unsere Resultate. Volker Lendecke, einer der führenden Samba-Entwickler, stellte uns freundlicherweise eine kurze Fehleranalyse zur Verfügung, die Sie im Kasten "Kein Anschluss unter dieser Nummer" nachlesen können. Deren Fazit: Einen Workaround für das Problem gibt es nicht; Zugriffe auf Vista-Freigaben von Linux aus werden erst dann möglich sein, wenn das Samba-Team eine entsprechende Code-Anpassung vorgenommen hat.

Abbildung 5: Kein Anschluß unter dieser Nummer: Vista verweigert Linux-Clients den Zugriff auf freigegebene Ressourcen.

Kein Anschluss unter dieser Nummer

Volker Lendecke, Samba-Entwickler

Der Client-Code von Samba 3.0.23c kann sich nicht mit Windows Vista RC1 (Build 5600) verbinden. Das heißt: Viele Client-Applikationen, die auf libsmbclient basieren, sind nicht in der Lage, Shares von Vista zu öffnen. Dazu gehört beispielsweise Konquerors KIO-Slave (smb://). Woran liegt das?

Der Verbindungsaufbau zu einem CIFS-Server verläuft in mehreren Schritten. Nach dem TCP-Verbindungsaufbau auf Port 139 oder 445 sendet der Client nacheinander die Anfragen Negotiate Protocol, Session Setup und Tree Connect. Mit dem Negotiate Protocol werden Verbindungsparameter ausgehandelt, mit dem Session Setup meldet sich der Benutzer mit seinem Passwort an und der Tree Connect teilt dem Server mit, mit welcher Freigabe sich der Client verbinden will.

Dieser grundsätzliche Ablauf ist praktisch seit den ersten Versionen des Protokolls aus den 80er Jahren gleich geblieben. Die Anforderungen an die Sicherheit des Protokolls sind jedoch seit dieser Zeit jedoch drastisch gestiegen. Dem haben die verschiedenen Versionen von Windows Rechnung getragen. Neben der immer noch theoretisch möglichen Authentifizierung mit Klartextpasswörtern kamen verschiedene Verfahren neu hinzu, so etwa die LanManager-Authentifizierung, NTLM v1 und NTLM v2.

Mit Windows 2000 und Active Directory führte Microsoft eine weitere, von allen vorherigen Mechanismen grundsätzlich verschiedene Art der Authentifizierung ein: Kerberos 5. Im Rahmen der Erweiterung zu Kerberos betrat Microsoft teilweise Neuland, die entsprechenden Internet-RFCs zur Einbettung von Kerberos in andere Protokolle wie CIFS und LDAP wurden seit der Einführung von Windows 2000 durchaus weiter entwickelt.

Samba 3 hat sich seit jeher daran orientiert, was Windows tatsächlich tut, weil sich Microsoft in der Regel selten an Standards gehalten hat. Damit einher geht auch, dass uns des öfteren von Änderungen in Windows überraschen. In diesem speziellen Fall der Kompatibilität mit Vista bei der Anmeldung legt Microsoft die zugrundeliegenden RFCs strenger aus, als das bisher der Fall war. Bis wir den Code entsprechend den neuen Anforderungen angepasst haben, ist es nicht möglich, mit Samba-basierenden Clients auf Vista-Freigaben zuzugreifen.(jlu)

Fazit

Mag die eine oder andere Neuerung auch mit Haken und Ösen verbunden sein, so gestaltet sich Vista in der Arbeit mit Linux überraschend problemlos. Der Kompatibilitätsassistent ermöglicht den Betrieb von Software, die ursprünglich für ältere Windows-Versionen vorgesehen waren. Damit steht dem Betrieb beispielsweise des Ext2/3-Treibers Ext2ifs nichts mehr im Weg.

Auch das Multibootverhalten entspricht weitgehend dem der Vorgängerversionen. Da Microsoft das NTFS-Dateisystem von Windows XP übernommen hat, bleibt auch beim Mounten von Windows-Partitionen unter Linux alles beim alten. Der Zugriff auf Vista-Shares aber funktioniert mit Linux-Clients derzeit nicht.